ช่องโหว่อายุ 25 ปีใน cURL ที่กระทบอุปกรณ์กว่า 30,000 ล้านเครื่องได้รับการแก้ไขแล้วในที่สุด

ช่องโหว่ระดับ critical ใน curl ที่ซ่อนอยู่มานานกว่า 25 ปีได้รับการแก้ไขแล้ว โดยเป็นส่วนหนึ่งของการออกอัปเดตด้านความปลอดภัยที่แก้ไขช่องโหว่รวม 18 รายการ (CVE) ซึ่งเป็นจำนวนสูงสุดเท่าที่เคยมีมาใน curl เวอร์ชันเดียว โดยหนึ่งในช่องโหว่ดังกล่าวคือ CVE-2026-8932 ซึ่งถูกเพิ่มเข้ามาตั้งแต่ curl เวอร์ชัน 7.7 เมื่อวันที่ 22 มีนาคม 2001 และนับเป็นช่องโหว่ด้านความปลอดภัยที่เก่าแก่ที่สุดเท่าที่เคยมีการรายงานในโครงการ curl

Daniel Stenberg ผู้ดูแลโครงการ curl ประกาศการออกรุ่นอัปเดตดังกล่าวเมื่อวันที่ 24 มิถุนายน 2026 โดยถือเป็นการอัปเดตที่แก้ไขช่องโหว่ได้มากที่สุดเท่าที่เคยมีมาใน curl เพียงเวอร์ชันเดียว ทั้งนี้ curl ไม่ได้เป็นเพียงเครื่องมือ Command-line Tool เท่านั้น แต่ยังเป็นโครงสร้างพื้นฐานสำคัญที่ถูกใช้งานบนอุปกรณ์มากกว่า 30,000 ล้านเครื่องทั่วโลก รองรับการรับส่งข้อมูลในหลากหลายระบบ ตั้งแต่ระบบปฏิบัติการ, Container, CI/CD Pipeline, Package Manager, SDK ไปจนถึงระบบยานยนต์สมัยใหม่

ผู้ใช้งานส่วนใหญ่แทบไม่ได้ใช้งาน curl โดยตรง แต่พึ่งพา libcurl ซึ่งเป็นเอนจินที่ถูกฝังอยู่ในผลิตภัณฑ์ และซอฟต์แวร์จำนวนมหาศาล ส่งผลให้ช่องโหว่ที่เกิดขึ้นในไลบรารีนี้มีความอันตรายเป็นพิเศษ เนื่องจากสามารถส่งผลกระทบเป็นวงกว้าง และมักตรวจสอบหาต้นตอของปัญหาได้ยาก

จุดเริ่มต้นของการค้นพบช่องโหว่ครั้งนี้เกิดขึ้นเมื่อวันที่ 11 พฤษภาคม 2026 หลังจาก Daniel Stenberg เปิดเผยว่า Mythos ซึ่งเป็นโมเดล AI ของ Anthropic สามารถตรวจพบช่องโหว่ CVE รายการหนึ่งใน curl ได้สำเร็จ

การเปิดเผยดังกล่าวนำไปสู่การส่งรายงานช่องโหว่ด้านความปลอดภัยเข้ามายังโครงการ curl เป็นจำนวนมากอย่างที่ไม่เคยเกิดขึ้นมาก่อน และเมื่อการตรวจสอบทั้งหมดเสร็จสิ้น ก็พบว่ามีการออก CVE รวมถึง 18 รายการสำหรับ curl เวอร์ชัน 8.21.0 ซึ่งถือเป็นสถิติสูงสุดที่เคยมีมาใน curl เวอร์ชันเดียว

AISLE แพลตฟอร์มด้านความปลอดภัยที่ขับเคลื่อนด้วย AI และรองรับการทำงานร่วมกับโมเดล AI ได้หลากหลายประเภท (Model-Agnostic) ระบุว่า ทีมของตนเป็นผู้ค้นพบช่องโหว่ 6 รายการจากทั้งหมด 18 CVE ที่ได้รับการแก้ไขในครั้งนี้ นอกจากนี้ยังพบประเด็นด้านความปลอดภัยอื่น ๆ ที่ได้รับการยืนยันว่าถูกต้องเพิ่มเติมในทั้ง curl และ libcurl ขณะที่องค์กรอื่นที่ใช้ AI ในการค้นหาช่องโหว่สามารถค้นพบได้สูงสุด 3 CVE ส่วนนักวิจัยที่ใช้งานโมเดลจาก Anthropic และ OpenAI พบช่องโหว่ได้รายละ 1 CVE

ช่องโหว่ทั้ง 6 รายการดังกล่าวได้รับการเปิดเผยต่อทีมพัฒนาตามรูปแบบ Responsible Disclosure และได้รับการแก้ไขเรียบร้อยแล้วใน curl เวอร์ชัน 8.21.0 ที่เผยแพร่เมื่อวันที่ 24 มิถุนายน 2026 โดยมีรายละเอียดดังต่อไปนี้:

นอกเหนือจากช่องโหว่ที่ได้รับการกำหนดรหัส CVE แล้ว AISLE ยังรายงานช่องโหว่ Memory Safety เพิ่มเติมอีก 3 รายการผ่านแพลตฟอร์ม HackerOne ได้แก่ ช่องโหว่ Heap Out-of-Bounds Read ในโมดูล urlapi และช่องโหว่ประเภท Use-After-Free กับ Double-Free ในกลไกการจัดการ HSTS

สิ่งที่น่าสนใจคือ ช่องโหว่หลายรายการที่ค้นพบในครั้งนี้ส่งผลกระทบเฉพาะ libcurl เท่านั้น ไม่ได้กระทบต่อเครื่องมือ curl แบบ Command-Line โดยตรง นั่นหมายความว่าช่องโหว่เหล่านี้อาจซ่อนอยู่ภายในผลิตภัณฑ์ หรือซอฟต์แวร์ที่ฝัง libcurl ไว้ ซึ่งผู้ใช้งานอาจไม่ทราบ ไม่สามารถดำเนินการติดตั้งแพตช์ได้ด้วยตนเอง

เนื่องจาก Attack Surface ของช่องโหว่เหล่านี้สามารถถูกเข้าถึงได้ผ่านพฤติกรรมการทำงานของแอปพลิเคชัน จึงทำให้การค้นพบครั้งนี้มีความสำคัญอย่างยิ่งต่อสภาพแวดล้อมขององค์กร และอุปกรณ์ IoT ที่พึ่งพา libcurl ในการสื่อสาร และรับส่งข้อมูล

นอกเหนือจากการแก้ไขช่องโหว่ด้านความปลอดภัยแล้ว curl 8.21.0 ยังเพิ่มความสามารถใหม่เข้ามาเพียงบางส่วนเท่านั้น เนื่องจากรอบการพัฒนาครั้งนี้มุ่งเน้นไปที่การตรวจสอบ และแก้ไขช่องโหว่เป็นหลัก

ฟีเจอร์สำคัญที่ถูกเพิ่มเข้ามา ได้แก่ การรองรับ Named Globs สำหรับการอัปโหลดไฟล์ และการปรับปรุงความสามารถของ HTTP/3 Proxy โดยรองรับการใช้งานผ่าน CONNECT และ MASQUE CONNECT-UDP ได้ดียิ่งขึ้น

ขณะเดียวกัน เวอร์ชันนี้ยังได้ยกเลิกฟีเจอร์ที่เลิกใช้งานแล้ว (Deprecated Features) หลายรายการ เช่น HTTP/2 Stream Dependency Tracking และการรองรับ CURLAUTH_DIGEST_IE เพื่อให้โครงการสอดคล้องกับแนวทางการใช้งานโพรโทคอล (Protocol) รุ่นใหม่มากยิ่งขึ้น

ทีมพัฒนายังแจ้งเตือนนักพัฒนาให้เตรียมพร้อมสำหรับการยกเลิกการรองรับฟีเจอร์บางรายการในเวอร์ชันถัดไป ได้แก่ NTLM, SMB, TLS-SRP และการทำงานด้านการเข้ารหัส (Cryptography) ที่ทีมพัฒนาของโครงการเขียนขึ้นเอง

โดยรวมแล้ว curl 8.21.0 มาพร้อมการแก้ไข Bug ทั้งหมด 276 รายการ และมีการ Commit โค้ดมากกว่า 500 ครั้งจากนักพัฒนากว่า 100 คน ซึ่งแสดงให้เห็นถึงการบำรุงรักษา และการยกระดับความปลอดภัยของโครงการอย่างต่อเนื่อง

ทีม Security และนักพัฒนาได้รับคำแนะนำให้อัปเกรดเป็น curl 8.21.0 โดยเร็วที่สุด โดยเฉพาะระบบที่พึ่งพากลไกการยืนยันตัวตน, การตั้งค่า Proxy หรือใช้งานฟีเจอร์ HTTP/2 และ HTTP/3 เนื่องจากเป็นกลุ่มที่อาจได้รับผลกระทบจากช่องโหว่ที่ได้รับการแก้ไขในเวอร์ชันนี้

ที่มา : cybersecuritynews.com